Hello Ulli,

man kann datenbankabfragen "injizieren". Das bedeutet, dass man der Anfrage Zeichenfolgen beimischt, die in der API dann in SQL-Befehle umgesetzt werden. Das ist aber eigentlich kein Problem der Datenbank welbst, sondern ihrer Textschnittstelle (SQL) und des davorgeschalteten API (z.B. PHP).

Um beim Beispiel MySQL - PHP zu bleiben:

Wenn man z.B versäumt, die Häkchen zu maskieren, wirken diese bei der Übergabe des Querystrings wie eine Unterbrechnung des Datenwertes und machen aus einem Dieses Datenwertes dann z.B. ein SQL-Statement.

Das kann böse Folgen haben.

Liebe Grüße aus http://www.braunschweig.de

Tom